В нашем арсенале есть методики оценки рисков, ущерба от инцидентов, критичности активов, уязвимостей и много еще чего, однако оценки возможностей злоумышленника (да хоть даже по CMM!) я что-то не припомнил, а значит, порассуждать об этом не будет бесполезным. Едва ли удастся выкристаллизовать универсальную методику, но придумать подход и перечислить что стоит учесть, думаю, удастся, а уже их комбинацией можно попытаться воспользоваться на практике.
На бытовом уровне мы часто используем, наверно, самую простую классификацию, однако, в публикациях нередко прослеживается путаница, поэтому, приведенная здесь не претендует на истинность. Итак, мы различаем...
Уровень 1: Скрипткидди (Script Kiddies). Наверно, сюда же стоит отнести хактивистов, однако, беря во внимание ущерб, я бы их называл кибертеррористами, да и технически они тоже подросли.
- Возможности: Низкие, используют готовые, доступные публично, инструменты и эксплойты без глубокого понимания их работы.
- Цели: Вандализм, неподготовленные цели, публичный резонанс.
- Сложность защиты: Низкая, базовая гигиена безопасности (обновления, управление конфигурацией, EPP, сетевой периметр с MFA) эффективно отражает большинство их атак.
Уровень 2: Киберпреступники (Cybercriminals)
- Возможности: Средние до высоких, часто высокоорганизованы, используют модели бизнеса (Ransomware-as-a-Service - RaaS, Malware-as-a-Service - MaaS), стандартные тактики и техники фишинга, готовые инструменты (ВПО), эксплойт-паки.
- Цели: Финансовая выгода (вымогательство, кража данных, кража средств со счетов).
- Сложность защиты: Средняя. Требуются продвинутые контроли: EDR/XDR, песочницы, SOC, чтобы со всем этим работать, постоянное обучение\повышение осведомленности сотрудников.
Уровень 3: APT (Advanced Persistent Threat) и прогосударственные группы
- Возможности: Очень высокие, исключительные, безграничные. Имеют возможности серьезных исследований, обнаружения 0-day сценариев, разрабатывают собственные инструменты, есть возможность полностью адаптироваться под атакуемую инфраструктуру, доступен уникальный TI
- Цели: Шпионаж, саботаж, дестабилизация (критическая инфраструктура, госсектор, крупный бизнес).
- Сложность защиты: Очень высокая. Едва ли можно защититься, но можно своевременно обнаружить и минимизировать, или не допустить ущерб. Требуются спецсредства: данные TI, Threat hunting в рамках SOC, Zero Trust.
Приведенную простую классификацию можно использовать так: Используемые инструменты --> Уровень --> Потенциал, например, готовые иснтрументы --> Скрипткидди --> низкий потенциал, собственно, ограничен стандартными инструментами, или кастомные инструменты и инфраструктура, ранее никогда не встречавшиеся --> целевая атака --> безграничный потенциал, объясняемый безграничными возможностями по исследованиям и разработки специализированных инструментов атаки.
Несмотря на малую пригодность рассмотренной классификации, она подводит к очень простой идее: стоимость атаки прекрасно характеризует потенциал злоумышленника. Оценка потенциала атакующего по стоимости реализованной им атаки давно и широко применяется исследователями, в том числе и для атрибуции: понимая сколько было затрачено на подготовку и реализацию атаки, несложно догадаться, кому это по карману. Да и что вкладывается в "потенциал атакующего", помимо доступной ему стоимости атаки? А стоимость атаки можно посчитать! Посмотрим, из чего она складывается...
Стоимость разработки и сопровождения инструментов. Инструменты могут быть публично доступными, разработанными на заказ или приобретенными по схеме MaaS, а могут быть и полностью разработанными подразделениями атакующего "с нуля". Сюда же стоит отнести разработку необходимых эксплоитов, которые могут быть под 1-day уязвимости, а могут быть и 0-day. Эксплоиты под разные системы стоят по-разному, есть публично доступные оценки. Атака, особенно целевая, APT, продолжительна по времени, и на этом протяжении инструменты должны успешно работать в условиях, когда используемые СЗИ могут "научиться" обнаруживать и блокировать их работу - это задачи по сопровождению.
Стоимость инфраструктуры. Это затраты на развертывание и поддержку сетевой архитектуры для управления атакой. Здесь надо оценить архитектурную проработку инфраструктуры в части ее скрытности и обеспечения высокой доступности. Косвенно это можно оценить исходя из того, насколько сложно обнаружить и вывести из строя всю эту инфраструктуру. Сюда будут входить, как минимум, стоимость хостинга, стоимость доменов, стоимость CDN, например, для маскировки C2-трафика. Для обеспечения высокой доступности и скрытности нередко используются Living-off-the-land сценарии работы С2 через публично доступные сервисы - github, Google/Yandex-сервисы, X/Twitter, Dropbox, Telegram, и т.п.
Доступные разведданные - то же, что и TI, только наоборот: атакующий собирает данные о цели. Сюда входит сбор информации о жертве (OSINT, анализ сливов, логов стилеров, и т.п.): сайты компании, соцсети сотрудников, их сообщения на общедоступных форумах, упоминания в прессе. Изучение корпоративных безнес-процессов, насколько это возможно, каких-то корпоративных мероприятий, круга сотрудников и зон их ответственности, например, для планирования целевого фишинга. Значимой частью является сбор информации о технической инфраструктуре цели: какие ИТ и ИБ решения используются, какие внутренние процессы обеспечения ИБ внедрены и работают - есть ли постоянный мониторинг, что мониторится, а что нет.
Используемые техники и тактики. Здесь мы уже будем говорить о сценариях реализованных атак: какие методы обхода используемых СЗИ использовались и какова стоимость связанных с этим исследований, использовались ли какие-то сценарии захода через подрядчиков или используемые решения. Также стоит обратить внимание на потенциальную организацию работы команды атакующих: оценить ее численность, квалификацию, разделение зон ответственности, например, предположить о наличии "линий", специализирующихся на каких-то узких задачах, типа, первоначальный пробив, или закрепление, или на каких-то системах, вроде, "эксперт по повышению в AD" или "специалист по эксплуатации Citrix".
Говоря об операционной безопасности (~ SOC) мы обычно упоминаем команду, процессы и технологии, и, не всегда, но это тоже очень важно - внешние сервисы, аналогичный подход можно применить и к оценке потенциала атакующего.
